Risikoevaluering

Owned by Erich Must Wessel
Last updated: Apr 25, 2023
6 min read

Konsekvensakser

Når en risiko er registrert, skal denne evalueres. En risiko evalueres først etter sannsynliget, deretter etter valgte konsekvenstyper:

  • HMS

  • Miljø

  • Kvalitet/prosess

  • Informasjonssikkerhet

  • Persondata

  • Beredskap/nødsituasjoner. 

NY evaluering / RE-evaluering

Når man først har definert en risiko, kan denne f.eks evalueres flere steder i organisasjonen ved å NY-evaluere flere ganger og velge ulike avdelinger i org.listen hver gang. Det kan altså være sammen risiko som skal evalueres på ulike prosesser, eller ulike avdelinger / lokasjoner, eller samme risiko på ulike Aktiva (feks. programvare).

Utfall

Når en og samme risiko evalueres mot ulike områder av virksomeheten kaller vi det ulike utfall. Altså en og samme risiko evalueres med flere NY evalueringer med ulikt utfall.

NB! For hvert nytt utfall av en risiko må altså det gjøres en NY evaluering. Utfallet tagges ved evaluering under overskriften “Tilknytning”. Utfallet må da være unikt i forhold til andre utfall. For hvert utfall skal det så senere kun RE-evalueres uten å gjøre endringer i Tilknytningsfeltene. Altså - dersom man skal gjøre en evaluering av et utfall som allerede er evaluert skal man RE-evaluere denne risikoen (ikke NY evaluering) som dette bildet illustrerer:

 

En NY evaluering benytter pluss ikonet og RE evaluering benytter “gjenta” ikonet. Når man RE-evaluerer vil man opparbeide historikk på dette utfallet for sannsynlighet og konsekvens og kunne se grafer på risiko-utfallets utvikling. I tillegg vil man kunne se alle tiltak som er implementert over tid og hvilken effekt disse har fått.

Et utfall kan altså være basert på ulike organisasjon som vist i bildet over, men også ulike prosesser, leverandører, kontekst, aktiva og flere andre datatyper i systemet.

Dersom man får en epost med påminnelse om at man må “revurdere” eller “reevaluere” en risiko betyr det at man RE evaluerer det aktuelle utfallet og bygger opp historikken for nettopp dette utfallet.

Risikoreduksjon / utnytte muligheter ved restrisiko

Dersom man ved evaluering IKKE aksepterer en restrisiko må man (systemet krever) redusere risikoen / utnytte muligheten med en (eller begge) av disse to måtene:

  • opprettes tiltak for å redusere risiko og realisere muligheter.

  • referere til sikringstiltak/barrierer som er på plass for å forebygge risikoen.

Ved risikoevaluering

  • Når en risiko evalueres for første gang (NY evaluering), genererer systemet en egen risikoevaluering som vil arve de valgte taggede organisasjonselementene og prosessene fra sin "mor", selve risikoen. Denne handlingen letter arbeidet, men du bør fortsatt sjekke om taggingen er riktig slik at utfallet blir riktig. Du kan selvfølgelig endre dem. Velg riktig sannsynlighet og verdi for hver relevant konsekvensakse. Du må fylle ut minst én konsekvensakse.

  • Du kan velge om du vil evaluere "Muligheter". Det vil gjøre den positive skalaen 1-5 synlig ved evaluering.

  • Du kan også velge å sette en “Ønsket sitauasjon” (målevaluering). Den aktiverer en ny matrise nøyaktig som den nåværende evalueringen, men lar brukeren angi en ønsket/mål-verdi. Over tid skal man jobbe mot å lukke dette gapet.

  • For hvert konsekvensaksevalg må man bestemme om man kan Aksepter restrisiko eller ikke. Hvis én ikke er merket, må du velge en løsning med tiltak på slutten av skjemaet -det betyr, hva gjør du med resten av risikoen/mulighet. For å redusere risiko og utnytte muligheter, legg til tiltak og/eller kontroller.

Evaluering av risikoer

Se flytsskjema i egen artikkel under hvordan man utfører evalueringer på ulike steder i systemet

Evalueringsfelter forklart

Seksjon1 - metainfo

Tittel

  • Systemet kopierer inn tittelen fra selve risikoen - kan endres om ønskelig

Beskrivelse

  • Om ønskelig kan man her beskrive evalueringen nærmere: hvorfor, endring, situasjon, prosjekt, er det peroidisk evaluering etc.

Neste evaluering

  • Systemet setter automatisk neste evaluering til ett år frem i tid. Kan endres ved evaluering.

Eier

  • Her legges automatisk inn den personen som er eier av risikoen - kan endres.

Stedfortredere

  • Her kopieres inn de som er stedfortredere i selve risikoen - kan redigeres

Deltakere

  • Her kopieres deltakerne fra selve risikoen inn - kan redigeres

Seksjon 2 - Tilknyttet

Her kan man når man lager en NY evaluering velge å kopiere med seg relevante data som er tagget for selve risikoen. Alle kan endres ved behov. Det anbefales å IKKE endre noen tilknytninger ved REevaluering fordi da vil “utfallet” endre seg. I disse tilfeller er det oftest best å lage en NY evaluering med en annen kombinasjon for det aktuelle utfallet. Bruk gjerne Tittel/Beskrivelse for å tydeligere om det er ulike utfall for samme risiko.

Sårbarheter

  • Dette feltet er et rent tekstfelt som brukes for å beskrive sårbarhet(er) - ofte i forbindelse med informasjonssikkerhetsrisikoer

Prosjekt

  • Prosjekt er kopiert fra selve risikoen og er låst for endring

Seksjon 3 - valg

I denne seksjonen tar man valg som har disse forklaringene

Signifikant

Det kan være ulike grunner til at man krysser av for at en evaluering er signifikant. Det kan f.eks være at risikoen

  • er utløst av et lovkrav

  • er utløst av en policy på høyt nivå

  • av en eller annen grunn er virksomhetskritisk mht feks produksjon, leveranse av råvarer, gjennomføring av prosjekter etc

Evalueringer som er signifikante kan filtreres fram i Analyse Dashbordet

Vurdere muligheter

  • Ved å krysse av her vil man også få synlig den positive konsekvens aksen for de som har dette og man kan gjøre et positivt valg. I standard oppsett gjelder dette blant annet for

    • kvalitet

    • ytre miljø

    • helse og sikkerhet

    • informasjonssikkerhet

  • det er mulig å ved bruk av Risikomatrisebyggeren under “Systemverktøy” menyen å definere hvilke konsekvens kategorier som skal ha denne opsjonen.

Ønsket situsajon

  • Dette valget gjør et ekstra matrise-sett synlig for hver konskvens akse og for sannsynlighet slik at man kan definere en ønsket situasjon for risikoevalueringen, eller “mål-risiko” som noen også kaller det. Det gjør det lettere å senår man kan akspetere rest-risiko

Miljøaspekt vurdering

  • Dersom denne evalueringen gjelder et miljøaspekt (ikke miljørisiko), velges denne. Dersom risikoen er krysset av for denne vil evalueringen automatisk arve valget.

  • Det gjør at man kan skille disse ut i Analyseverktøyet.

  • Husk da på at Sannsynlighet har da betydningen “Mengde”

Restrisisko

Når man har oppnådd ønsket risikobilde velger man å akseptere restrisiko. Systemet vil for den aktuelle konsekvensaksen da vise resrisiko i alle oversikter som grønn, eller vil den være rød som tydelig kommuniserer til sluttbruker at denne risikoen/muligheten må jobbes videre med. Dersom man i evalueringen krysser av for at restrisiko er akseptert, må man fylle ut en kommentar og forklare.

 

Oversikt over evalueringene

  • Bruk Hjem siden i risikomodulen for raskt å se på mine eller min enhets risiko/vurderinger

  • I prosesskartet vil det komme frem en synliggjøring av vurderingene

  • Analyse Dashboard gir oversikt over hele organisasjonens risikovurderinger, man kan se/filtrere all organisasjonens risikovurderinger per: 

    • Firma, avdeling, prosess, type, gruppe

    • Et gitt øyeblikksbilde på ønsket tidspunkt

    • Kan filtrere og vise kun prosjektrisiko

    • Klikke på tallet i en matrise for å vise detaljer om risikoene i tabellen til høyre

    • Veksle til ID for å lettere finne din risikovurdering

  • Graf av risikovurderingene over tid – se om risikobildet har endret seg over tid, se innvirkning av gjennomførte tiltak

Gruppering – og synliggjøring i prosesskart

Basert på en risikoevaluering vil de kartlagte risikoene sorteres, ulike konsekvenser vises i prosesskart

Videoer som forklarer riskoevalueringer

Evaluere og re-evaluere risikoer:
https://youtu.be/q74WNRhfo7E

 

Re-evaluering fra Analyse dashbord:
https://youtu.be/FLSyByz5mgo

 

Risiskoevaluere Miljøaspekt:
https://youtu.be/JzALJVGE5tw